Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

Benzer belgeler
Laboratuvar Akreditasyonu

İç Denetim Prosedürü

(2. AŞAMA) SAHA TETKİKİ PROSEDÜRÜ

TÜRK AKREDİTASYON KURUMU. Personel Akreditasyon Başkanlığı

ÖN TETKİK PROSEDÜRÜ. İlk Yayın Tarihi: Doküman Kodu: PR 09. Revizyon No-Tarihi: Sayfa No: 1 / 6 REVİZYON BİLGİSİ. Hazırlayan : Onaylayan :

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

1. AŞAMA TETKİK PROSEDÜRÜ

TETKİK SÜRELERİ BELİRLEME TALİMATI

Kontrol: Gökhan BİRBİL

TÜRKAK ve Akreditasyon Çalışmaları

TÜRK AKREDİTASYON KURUMU

ŞİKAYETLER VE İTİRAZLAR PROSEDÜRÜ

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

İç Tetkik Prosedürü Dok.No: KYS PR 02

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

1. Validasyon ve Verifikasyon Kavramları

Laboratuvar Akreditasyonu

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ İÇ DENETİM KILAVUZU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ İLE İLGİLİ BİLGİLENDİRME

EN ISO/IEC PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR

Türk Akreditasyon Kurumu -TÜRKAK

Dr. Yıldırım CESARETLİ. Akreditasyon ve Yeterlilik Testleri. Biyosidal Ürün Analiz Laboratuvarlarında

KYS İÇ DENETİM PROSEDÜRÜ

PROSİS in tüm kayıtlı ve belgeli müşterileri ve eğitim katılımcıları için geçerlidir.

KALİTE YÖNETİM SİSTEMİ İÇ DENETİM PROSEDÜRÜ

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

KALİTE EL KİTABI PERSONEL BELGELENDİRME

PERSONEL BELGELENDİRME PROSEDÜRÜ (GENEL ŞARTLAR)

TÜRK AKREDİTASYON KURUMU. Ürün Hizmet ve Muayene Akreditasyon Başkanlığı Muayene Kuruluşu Akreditasyonu

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

TÜRK AKREDİTASYON KURUMU R20.07 LABORATUVAR İÇ DENETİMLERİ

R Yer Alacak Denetçi ve Teknik. Kriterleri. Revizyon No : 04 Yürürlük Tarihi :

ELEKTRONİK NÜSHA.BASILMIŞ HALİ KONTROLSÜZ KOPYADIR.

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ

ŞİKAYET VE İTİRAZLARIN ELE ALINMASI PROSEDÜRÜ

TÜRK AKREDİTASYON KURUMU. Ürün Hizmet ve Muayene Akreditasyon Başkanlığı Ürün Belgelendirme Akreditasyonu

Personel Akreditasyonu ve Doğalgaz Sektörü

OSEM-SS OTO BAKIM VE ONARIM MERKEZİ YETERLİLİK STANDARDI BELGELENDİRME HİZMET TEKLİF ve SÖZLEŞMESİ

Akreditasyon Denetimleri için Denetim Sürelerinin (Adam-Gün) Hesaplanması Rehberi

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

TETKİK SÜRELERİ BELİRLEME TALİMATI DETERMINING AUDIT TIME INSTRUCTIONS Doküman No Document No Sayfa No Page No

Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması

ŞİKÂYET VE İTİRAZLARIN DEĞERLENDİRİLMESİ PROSEDÜRÜ

ŞİKÂYET VE İTİRAZ DEĞERLENDİRME PROSEDURU

TÜRK AKREDİTASYON KURUMU. 24. İŞ SAĞLIĞI ve GÜVENLİĞİ HAFTASI

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

Tetkik Gün Sayısı Tespiti

DENEY VEYA KALİBRASYON LABORATUVARLARININ TS EN ISO/IEC 17025:2005 STANDARDINA GÖRE DENETİMİ VE AKREDİTASYONU

TÜRK AKREDİTASYON KURUMU

Belgelendirme Müracaatı ve Sözleşme Yapılması Prosedürü

Şikayetlerin ve İtirazların Değerlendirilmesi Prosedürü

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

Kontrol: Gökhan BİRBİL

Belgelendirme Müracaatı ve Sözleşme Yapılması Prosedürü

T. C. KAMU İHALE KURUMU

İŞ SAĞLIĞI VE GÜVENLİĞİ TEMEL EĞİTİMİ. Eğitimin Amacı

PROSEDÜR Organizasyon ve Personel Kriterleri Prosedürü

ŞİKAYET VE İTİRAZLARIN ELE ALINMASI PROSEDÜRÜ

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR

BAŞ DENETÇİ PROGRAMLARI

LABORATUVAR AKREDİTASYON BAŞKANLIĞI. Serhat GÖK

OSEM-SS OTO BAKIM VE ONARIM MERKEZİ YETERLİLİK BELGELENDİRMESİ KURALLARI. K-01 Rev / 6

MÜŞTERİ İTİRAZ PROSEDÜRÜ

Akreditasyon Denetimleri için Denetim Sürelerinin (Adam/Gün) Hesaplanması Rehberi

Belgelendirme Müracaatı ve Sözleşme Yapılması Prosedürü

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ

PROSES_ÜRÜN BELGELENDİRME AKIŞ ŞEMASI

LABORATUVAR AKREDİTASYON BAŞKANLIĞI

PROSEDÜR MAKİNE GÜVENLİK MUAYENESİ. REVİZYON İZLEME TABLOSU Revizyon Revizyon Açıklaması Tarih

İTİRAZ / ŞİKAYET DEĞERLENDİRME PROSEDÜRÜ

İÇ DENETİM PROSEDÜRÜ

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

Eğitimcilerin Eğitimi Bölüm 7: Doğrulama Süreci. İklim ŞAHİN , ANTALYA

ISO / TS 22003:2013 un Yeniliklerinin Gıda İşletmeleri, Belgelendirme Kuruluşları ve Akreditasyon Faaliyetleri Açısından İrdelenmesi

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

Doküman No BQP.03 Yayın Tarihi Revizyon No 02 Revizyon Tarihi Sayfa No 1/8 PLANLAMA PROSEDÜRÜ

TÜRK AKREDİTASYON KURUMU R20.08

ŞİKÂYET ve İTİRAZ REHBERİ

MÜŞTERİ İTİRAZ PROSEDÜRÜ

TİTCK/ DESTEK VE LABORATUVAR HİZMETLERİ BAŞKAN YARDIMCILIĞI/ ANALİZ VE KONTROL LABORATUVAR DAİRESİ BAŞKANLIĞI MÜŞTERİYE HİZMET PROSEDÜRÜ PR18/KYB

İTİRAZ VE ŞİKAYETLER PROSEDÜRÜ

R Uzmanlık Alanları ve Kullanım Rehberi. Revizyon No : 02 Yürürlük Tarihi :

Doküman No BQP.04 Yayın Tarihi Revizyon No 02 Revizyon Tarihi Sayfa No 1/12 DENETİM PROSEDÜRÜ

Uygunluk Değerlendirme

TS EN & TS EN ISO 3834 BELGELENDİRME PROSEDÜRÜ

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

DENETİM VE BELGELENDİRME PROSEDÜRÜ Audit and Certification Procedure

YETERLİLİK DENEYLERİ VE LABORATUARLAR ARASI KARŞILAŞTIRMA PROGRAMLARI PROSEDÜRÜ Doküman No.: P704 Revizyon No: 04 Yürürlük Tarihi:

Hazırlayan: S. DOĞAN Onaylayan: C.PERGEL

TÜRK STANDARDLARI ENSTİTÜSÜ

İtiraz ve Şikâyetler Prosedürü

YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz?

KALİTE SİSTEM İÇ DENETİMLERİ PROSEDÜRÜ

P704. Revizyon No : 05 Yürürlük Tarihi : Yeterlilik Deneyleri ve Laboratuvarlar Arası Karşılaştırma Programları Prosedürü

TS EN ISO/IEC Kullanılabilir Arayüz Sertifikası Verilmesi Süreci

Belgelendirme Müracaatı ve Sözleşme Yapılması Prosedürü

TÜRK AKREDİTASYON KURUMU. Sistem Akreditasyon Başkanlığı

Transkript:

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı

ISO/IEC 27001 DENETİM VE BELGELENDİRMESİ OGÜN KÖSE KALİTEST BELGELENDİRME GENEL MÜDÜRÜ

İçindekiler Tanımlar Belgelendirme genel iş akışı Başvuru öncesi Başvuru Denetim süresi Denetimin gerçekleştirilmesi Belgelendirme kararı Akreditasyon Denetçi seçme ve atama kriterleri

Tanımlar Kuruluş (organizasyon): Düzenlenmiş sorumlulukları, yetkileri ve ilişkileri olan insanlar ve tesisler grubu Belgelendirme kuruluşu: Belirlenen standartlara veya teknik düzenlemelere uygunluğun belgelendirmesini yapan kuruluş Akreditasyon: Laboratuarların, muayene ve belgelendirme kuruluşlarının ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesi, yeterliliğinin onaylanması ve düzenli aralıklarla denetlenmesi

Tanımlar Denetim (tetkik): Denetim kriterinin tam olarak karşılandığının tespiti ve denetim delillerinin elde edilmesi amacı ile uygulanan sistematik, bağımsız ve dokümante proses Denetçi: Yeterli kalifikasyona sahip ve kalite sisteminin tümünün veya bir kısmının denetimin gerçekleştirebileceği onaylanmış kişi Baş denetçi: Yeterli kalifikasyona sahip ve kalite sistem denetimini yönetmesi onaylanmış kişi

Tanımlar 1 taraf denetim: Birinci Taraf (İç) denetimler eğitimli iç denetçiler tarafından firmanın kendi yönetim sistemini değerlendirme amacı ile yapılır. 2.taraf denetim: İkinci taraf denetimler firmada müşteri tarafından gerçekleştirilir. Denetimler bir sözleşmenin veya gelecekte yapılacak olan bir sözleşmenin şartları doğrultusunda yapılır. 3.taraf denetim: Üçüncü taraf denetimler tanınmış bir standardın şartları doğrultusunda firmada bağımsız bir kuruluş tarafından gerçekleştirilir.

Belgelendirme Genel İş Akışı Başvurunun alınması Sözleşme 1 Aşama Denetim 2. Aşama Denetim Belge Yenileme Gözetim Denetimleri Belgelendirme

Başvurudan önce yapılması gerekenler Bu aşamada gerekli bilinçlendirme, iç denetçi, dokümantasyon ve diğer eğitimlerin alınması BGYS nin kapsamının ve varsa hariç tutmaların belirlenmesi BGYS politikasının oluşturulması Risk analizinin yapılması (Risk tanımlama, çözümleme, derecelendirme, risklerin işlenmesi için seçenekleri tanımlama ve derecelendirme, risklerin işlenmesi için kontrol amaçları ve kontrolleri seçme, artık risk onayı ve işletme)

Başvurudan önce yapılması gerekenler Uygulanabilirlik bildirgesi hazırlanması BGYS nin uygulanması ve işletilmesi BGYS nin izlenmesi ve gözden geçirilmesi BGYS nin devamlılığının sağlanması ve iyileştirilmesi İç denetimlerin yapılması Yönetimin gözden geçirilmesi DÖF lerin uygulanması Ek A daki kontrollerin uygulanması ve etkinliğin ölçümü

Başvurudan önce yapılması gerekenler ISO 27001 standardına göre dokümante edilmesi gerekenler; BGYS politikası, amaç ve hedefleri Kapsamı BGYS ni destekleyici prosedür ve kontroller Risk değerlendirme metodunun tanımı Risk değerlendirme raporu Risk işleme planı Kuruluşun kendi BGYS proseslerinin kontrolü için ihtiyaç duyacağı dokümante prosedürler Kayıtlar Uygulanabilirlik bildirgesi

Başvuruda istenen bilgiler.. Firma unvan bilgileri Sunucu Sayısı Adres bilgileri (Çok işletmeli kuruluşlar için belgelendirmeye tabi tüm adresler) Çalışan sayısı Workstation + PC + laptop sayısı Network ve şifreleme teknolojisi Kapsam Hariç tutulan maddeler Daha önce alınmış olan sertifika bilgisi Kullanıcı sayısı Servis seviyesi anlaşmaları (SLA)nın önem derecesi Kapsam içerisinde yer alan faaliyetler ile ilgili olarak alınması gereken yasal izin ve onayları

Denetim Süresinin Belirlenmesi ÇALIŞAN SAYISI BELGELENDİRME DENETİM ZAMANI (denetçi/gün) 1-10 5 11-25 7 26-45 8.5 46-65 10 66-85 11 86-125 12 126-175 13 176-275 14 276-425 15 426-625 16.5 626-875 17.5 876-1175 18.5 1176-1550 19.5 1551-2025 21 2026-2675 22 2676-3450 23 3451-4350 24 4351-5450 25 5451-6800 26 6801-8500 27 8501-10700 28 10700 Yukarıya benzer arttırılır

Risk Seviyesinin Belirlenmesi BGYS Komplekslik seviyesi yüksek, orta, düşük olarak 3 kategoriye ayrılmıştır. Komplekslik seviyesi ISO/IEC 27006-2 Tablo A.1: BGYS Komplekslik kriterlerine göre belirlenir. Yüksek kategorideki firmaların denetim süreleri azaltılmaz. Orta kategorideki firmaların denetim süreleri yukarıda verilmiş denetim süresini arttırmayı/azaltmayı etkileyen faktörler dikkate alınarak artırılabilir veya azaltılabilir. Düşük kategorideki firmaların denetim süreleri önemli bir arttırıcı faktör yoksa azaltılabilir.

Denetim Süresinin Hesaplanması Denetim süresi toplam sahadaki denetim süresinin %70 inden daha az olamaz (Saha denetimi süresi en fazla %30 azaltılabilir). Tetkik zamanını azaltan faktörler bir araya gelse de, belgelendirme tetkiki için belirlenen zaman bu faaliyetlerin etkisiyle toplam olarak %30 dan fazla azaltılmamalıdır Tetkik için ayrılan toplam zaman içinde planlama, doküman gözden geçirme (1. Aşama) ve rapor yazma faaliyetleri, Tabloda belirlenen toplam sürenin %30 undan fazla yer tutmamalıdır. Gözetim tetkikleri için belgelendirme tetkiki için ayrılan sürenin yaklaşık 1/3 ü yeniden belgelendirme tetkikleri için 2/3 ü ayrılmalıdır. Bu süreleri arttırabilecek veya azaltabilecek faktörler varsa Baş Denetçi tarafından dikkate alınmalı ve kayıt altına alınmalıdır.

Denetimin Gerçekleştirilmesi Denetim iki aşamadan oluşur. Birinci aşama: Formal denetimin birinci aşamasıdır. Bu aşamada belgelendirme v.s tavsiye kararı verilmez, sadece 2. aşama denetimi için yönetim sistemi uygulamalarının hazır olup olmadığını değerlendirmek üzere ön hazırlık mahiyeti taşır. BGYS denetimleri için 1. Aşama her zaman yerinde yapılır.

1. Aşama Denetiminde incelenen konular BGYS Kapsam Değerlendirme Risk Yönetim Süresi Politika Süreçler Dokümante Prosedürler Uygulanabilirlik Bildirimi Varlık envanteri, Yasal ve mevzuat gerekliliklerinin belirlenmesi, Bilgi Güvenliği Organizasyonu, Güvenlik rol ve sorumlulukları

1. Aşama Denetiminin Amacı Müşterinin sistem dokümantasyonunun denetlenmesi Kuruluşa ait yerlerin ve lokasyona özgü koşullarının değerlendirilmesi ve 2.aşama denetim hazırlıkları için kuruluş personeli ile görüşmelerin yapılması, Kuruluşun statüsünün ve standard şartlarını kavrayışının gözden geçirilmesi(özellikle uygulanan yönetim sisteminin işletilmesinin, performansının ve önemli yönlerinin, proseslerinin gözden geçirilmesi) Yönetim sisteminin kapsamı, prosesler, kuruluşun yeri(lokasyon),yasal düzenlemeler ile ilgili gerekli bilgilerin toplanması,

1. Aşama Denetiminin Amacı İkinci aşama denetim için gerekli kaynakları gözden geçirmek ve 2. aşama denetimin detayları ile ilgili olarak müşteri kuruluşla anlaşma sağlamak, Müşteri kuruluşun yönetim sistemi ile ilgili yeterli bilginin kazanılmasını takiben, ikinci aşama denetimin planlanmasına odaklanmak, Müşterinin iç denetimlerini ve yönetim gözden geçirmelerini etkin bir şekilde planlayıp gerçekleştirdiğinin ve yönetim sisteminin uygulama seviyesinin yeterliliğinin belirlenmesi ile müşterinin ikinci aşama denetim için hazır olup olmadığının değerlendirilmesi, amacıyla gerçekleştirilir.

Süre 1. Aşama denetimleri; toplam denetim süresinin %30 unu aşmayacak şekilde planlanmalıdır.

Denetim Planının Oluşturulması Denetim planı firmanın başvuru kapsamını karşılayacak şekilde olmalıdır, En az 8 saat / gün olmalıdır BGYS için toplam denetim süresine planlama ve rapor yazma faaliyetleri dahildir ve bu faaliyetler saha denetimi süresini toplam denetim süresinin %70 inden daha aza düşürmeyecek şekilde planlanır. Standardın tüm maddelerini kapsamalıdır, Mantıksal bir akış izlemelidir (genelden özele doğru)

Denetim Planının Oluşturulması Firmanın işleyişine uygun olmalıdır, ( örneğin çalışma saatleri, öğle araları v.s ) Denetlenen içinde yol gösterici olmalıdır, Tüm denetim ekiplerini kapsayacak şekilde olmalıdır, Firmanın denetçiye ve plana itiraz etme hakkı bulunmaktadır

2. Aşama Denetiminin Amacı Müşteri kuruluşun kendi politikası, amaçları ve prosedürlerine, BGYS nin tüm ISO/IEC 27001 gereklilikleri ve kuruluşun politika ve amaçlarına uygunluğunu doğrulamak

2. aşama denetiminin genel başlıkları Açılış toplantısı, gündemin eksiksiz sunulması önemli Standarda uygunluk için objektif delillerin toplanması (örnekleme metoduyla) Sorumlu kişilerle görüşmeler yaparak Uygulama kayıtlarının incelenmesi ile Gözlemleyerek Denetim heyetinin ara ve son değerlendirmelerini yapması Uygunsuzluk varsa, uygunsuzluk raporlarının düzenlenmesi Denetim raporunun tamamlanması Kapanış toplantısı, gündemin eksiksiz ve sırasına uygun sunulmalıdır. Tartışma gerekebilecek konular en son sunulmalıdır.

Uygunsuzluk MAJOR: standart şartlarının tamamen karşılanmaması veya sistemin çökmesine sebep olabilecek eksik uygulamalar. Belirli sayıda minör hatanın toplam etkisinin sistemi çökertecek nitelikte olması. MİNOR: sistemi çökertmeyecek nitelikteki eksik/yanlış uygulamalar. GÖZLEM: minör uygunsuzluk tanımlanacak şekilde açık olmayan veya ilgili standarda refere edilemeyen, ilerde minör uygunsuzluk olabilme riski taşıyan faaliyetler.

Uygunsuzluk Minör uygunsuzluk raporunda kaydedilen düzeltici faaliyetle belgelendirme tavsiye edilir. Şu kadar minör bir majör (örnek 7 minör = 1 majör) eder diye herhangi bir standart / kural yoktur. Uygunsuzluklarla ilgili muhakkak müşteri teyidi alınmalıdır. Uygunsuzluklar muhakkak açık bir şekilde objektif delillerle desteklenmelidir. Gözlemler açık ifade edilmelidir, minör uygunsuzluk statüsünde olmamalıdır.

Denetim sonunda uygunsuzluk var ise; Bir majör uygunsuzluk varsa, kuruluş kalite yönetim sisteminin belgelendirilmesi tavsiye edilemez. Tüm uygunsuzluklar kapatılmadan ve belgelendirme kuruluşu tarafından kuruluş yerinde veya ofiste doğrulanmadan belgelendirme yapılamaz. Uygunsuzluk major ise takip denetimi gerekir.

Denetimde Uygunsuzluk Yazılması Durumunda Yapılması Gerekenler Durum Firmanın yapması gereken Baş denetçinin yapması gerekenler Minör uygunsuzluk Uygunsuzluğun tekrarını engelleyecek ve kök sebebini ortadan kaldıracak şekilde düzeltici faaliyet planlamalı, uygulamalı ve başlatılan düzeltici faaliyetin amacına ulaşıp ulaşmadığını doğrulamalıdır. Firma tarafından belirlenen düzeltici faaliyetin kabul edilebilirliğinin kontrolü ve sonraki gözetim denetiminde uygulama delilleri kontrol edilmelidir. Majör uygunsuzluk Uygunsuzluğun tekrarını engelleyecek ve kök sebebini ortadan kaldıracak şekilde düzeltici faaliyet planlamalı, uygulamalı ve başlatılan düzeltici faaliyetin amacına ulaşıp ulaşmadığını doğrulamalıdır. Firma tarafından belirlenen düzeltici faaliyetin kabul edilebilirliğinin kontrolü ve uygulama sonucu çıkan objektif delili takip denetimi yaparak doğrulamalıdır.

Belgelendirme Kararının Verilmesi Raporun eksiksiz doldurulup doldurulmadığı, belgelendirme kapsamı, denetim planının uygunluğu, denetim bulgularının yeterliliği, tespit edilen uygunsuzlukların anlaşılır olması ve kapanmış olması açısından, Belgelendirme Müdürü gözden geçirme yaparak karar verir. Başdenetçi belgelendirmeye karar veremez sadece tavsiyede bulunur. Belgelendirme kararının denetim heyetinin tavsiye kararından farklı olması durumunda, ret kararının gerekçesi Belgelendirme Müdürü tarafından yayınlanır. Denetimi gerçekleştiren belgelendirmeye karar veremez. Belgelendirme kararı belgelendirme kuruluşunun sorumluluğundadır, Hiçbir zaman taşere edilemez.

Gözetim Denetimleri Belgelendirme kuruluşu belgelendirdiği firmanın risk grubu dikkate alınarak gözetim denetimi planlamalıdır. Yılda en az bir kez yapılmalıdır. (Aşama 2 tetkikinin son günü esas alınarak hesaplanır.) Belgelendirme denetimi ile aynı prosedür kullanılmalıdır Belgelendirme denetiminin en az 1/3 ü zaman ayrılmalıdır Bir önceki denetimde belirlenen uygunsuzluklar için düzeltici faaliyetlerin doğrulanması yapılmalıdır Logo kullanımı kontrol edilmelidir. Tüm sistem 2 yıl içerisinde firma ilgili Yönetim Sisteminin tüm faaliyetleri denetlenmelidir.

Gözetim Denetimleri BGYS sisteminin devamlılığı Yönetim gözden geçirme İç denetimler DÖF ler İlgili dış taraflarla iletişim Doküman sistemindeki değişiklikler Değişen prosesler-alanlar 27001 in seçilen maddeleri Politikanın uygulanma etkinliği BGYS nin yasal düzenlemelere uygunluğunun periyodik olarak değerlendirilmesi gözden geçirilmesi

Belge Yenileme Denetimi Belge yenileme denetimi her 3 yılda bir yapılır. Standardın tüm maddelerini kapsayacak şekilde gerçekleştirilir. Belgelendirme denetiminin en az 2/3 ü zaman ayrılmalıdır Belge yenileme denetimlerinde aşağıdaki hususlar dikkate alınır: İç ve dış kaynaklı değişiklikler ışığında ışığında, kendi bütünlüğü içerisinde yönetim sisteminin etkinliği, Yönetim sistemi etkinliğinin belgelendirme kapsamıyla sürdürülegelen ilgisi ve uygulanabilirliği, Toplam performansı arttırmak için yönetim sisteminin etkinliği ve iyileştirilmesini sürdürmeye yönelik gösterilmiş taahhüt, Yönetim sisteminin işletilmesinin organizasyonun politika ve hedeflerine ulaşmasında katkı sağlayıp sağlamadığı

Sertifika Firma Unvan ve Adres Bilgileri Uygulanabilirlik Bildirgesi Kapsam

Katma Değer Denetim Denetçilerin tavsiyede bulunması, Denetçilerin işin nasıl yapılacağını firmaya göstermesi, Denetçilerin denetim esnasında firmaya eğitim vermesi, Denetimden sonra aynı denetçinin firmaya danışmanlık hizmeti vermesi, Denetimde varsa uygunsuzlukların raporlanması yerine sözlü uyarması, DEĞİLDİR

Katma Değer Denetim Katma değer denetimde; Denetim planı doğru olmalıdır, Denetim planı etkin uyulmalıdır, Denetim ekibi yeterli olmalıdır, Kritik ve önemli noktalar muhakkak ziyaret edilmeli ve yeterli zaman ayrılmalıdır Sistemin uygulanıp uygulanmadığını gösterir nitelikte doğru örnekleme yapılmalıdır Varsa uygunsuzluklar formal olarak raporlanmalıdır Denetim dili firmanın kolay anlayabileceği nitelikte olmalıdır

Belgelendirme Kuruluşu Prensipleri Tarafsızlık, Yeterlilik, Sorumluluk, Açıklık, Gizlilik, Şikayetlerin çözümlenmesi

Belgelendirme Kuruluşu Seçerken Dikkat Edilmesi Gereken Konular Akreditasyona sahip olup olmaması, Dış akreditasyona sahip ise bu akreditasyonun Türkiye yi kapsayıp kapsamadığı, Sertifikanın üçüncü taraflar tarafından kabul görüp görmediği, Belgelendirme kuruluşunun görevlendirdiği denetçilerin yetkinliği, Tarafsızlık ve bağımsızlığın sağlanması

Belgelendirme Kuruluşu Seçerken Dikkat Edilmesi Gereken Konular Danışmanlık ve belgelendirme ilişkisi (ISO 17021 şartları) Denetim ekibinin (baş denetçi ve denetçilerin) denetlenen kuruluştan bağımsız olmalıdır. Belgelendirme kuruluşunun danışmanlık şirketi ile çıkar ilişkisinin olmaması gerekir (komisyon alma verme gibi )

Akreditasyon Belirli bir konuda yetkilendirme Uluslar arası tanınabilirlik, Belgelendirme etik ve kurallarının ciddiyetle uygulanması ve güvenilirlik Ülkeler arası farklılıkların ortadan kaldırılabilmesi ve aynı standardın uygulamasını her yerde asgari müştereklerde aynı olabilmesi için uluslar arası akreditasyon kuralları ve birlikleri vazgeçilmezdir

Akreditasyon Sistematiği IAF Uluslararası Akreditasyon Forumu TÜRKAK Ulusal Akreditasyon Kurumları EA Bölgesel Akreditasyon Forumları UKAS, DAR vs Bölgesel Akreditasyon Forumları Ulusal Akreditasyon Kurumları TSE, KALİTEST Belgelendirme Kuruluşları Belgelendirme Kuruluşları Belgelendirme Kuruluşları Belgelendirme Kuruluşları

TÜRKAK Türk Akreditasyon Kurumu (TÜRKAK), laboratuar, belgelendirme ve muayene hizmeti veren yurt içi ve yurt dışındaki Uygunluk Değerlendirme Kuruluşlarını akredite etmek, bu kuruluşların belirlenen ulusal ve uluslararası standartlara göre faaliyetlerde bulunmalarını ve ürün/hizmet, sistem, personel ve laboratuvar belgelerinin ilgili taraflar nezdinde güvenilir hale gelmesini ve böylece ulusal ve uluslararası alanda kabul edilebilirliğini temin etmek amacıyla 4 Kasım 1999 tarihli Resmi Gazete de yayımlanan 4457 sayılı Kanun la kurulmuştur. Kurum, 2001 yılı içinde akreditasyon hizmetini sunmaya başlamıştır.

TÜRKAK TÜRKAK Türkiye de tek yetkili akreditasyon kurumudur. IAF (International Accreditation Forum) ile MLA (Multi Lateral Agreement) anlaşması vardır. TÜRKAK akrediteli belgelerin dünyada tanınması anlamındadır. Türkiye de üretim / hizmet sunan bir firmanın TÜRKAK akrediteli belgelendirme kuruluşundan belge alması, uluslar arası akreditasyon kurallarının istediği bir durumdur. Çünkü belgeli firmadan hizmet alan tüketici, belgeyi veren kurum, akreditasyon kurumu vb. ilgili kuruluşlar zincirinin güven ve izlenebilirliği sağlanmalıdır.

ISO 27001 denetçi seçme ve atama kriterleri Denetçi Baş denetçi Temel Öğretim En az yüksek okul veya üniversite mezunu Söz konusu kişinin sektöre uygun yüksek okul veya üniversite öğretim varsa iş tecrübesi şartı 1 yıl düşürülebilir. En az yüksek okul veya üniversite mezunu Denetçi Eğitimi 5 günlük denetçi eğitimi BGYS denetimleri ve denetim yönetimi kapsamını içeren 5 günlük denetçi eğitimi. 4 yıl Toplam iş Bilgi Teknolojisi ile ilgili en az dört yıllık tam zamanlı iş deneyimi. Bunun iki yılı bilgi güvenliği ile ilgili bir görevde olmalı. Deneyim güncel olmalıdır. Tecrübe 2 yıl 5 günlük denetçi eğitimi 4 yıl 2 yıl Yönetim Sistemi Denetim Tecrübesi Yetkin baş denetçinin yönlendirmesi ve rehberliğinde 4 tam denetim en az 20 gün Denetimler ardışık son 2 yıl içerisinde tamamlamış olmalıdır Tam denetim belgelendirme veya belge yenileme denetimi anlamındadır. Doküman inceleme, risk analizi, denetim uygulaması ve raporlama bu süreye dahildir. Yetkin baş denetçinin yönlendirmesi ve rehberliğinde denetçi rolü ile 3 tam denetimde görev almak Denetimler ardışık son 2 yıl içerisinde tamamlamış olmalıdır

ISO 27001 denetçi seçme ve atama kriterleri Denetçiler aşağıdaki konularda yetkin olmalıdır; Denetim planlama ve programlama, Denetim tipi ve yöntemleri, Denetim riski, Karmaşık işlemlere geniş çerçeveden bakabilme ve büyük kuruluşlardaki her bir birimin görevini algılayabilme, Bilgi güvenliği proses analizi, Sürekli iyileştirme, Bilgi güvenliği iç denetimi

ISO 27001 denetçi seçme ve atama kriterleri Denetçiler aşağıdaki konularla ilgili yasal gereklilikleri bilmelidir. Entelektüel varlık, Kuruluş kayıtlarının içeriği, korunması ve muhafazası, Veri korunması ve gizliliği, Şifreleme kontrolleri yönetmelikleri, Anti- terör, Elektronik ticaret, Elektronik ve sayısal imza, İşyeri gözetimi, Verilerin izlenmesi ve telekomünikasyon engellemesi (ör: e-posta), Bilgisayarlı kötüye kullanma, Elektronik kanıt toplanması, Penetrasyon deneyleri, Ulusal ve uluslar arası Sektörel şartları (ör: bankacılık)

ISO 27001 denetçi seçme ve atama kriterleri Denetçiler aşağıdaki yönetsel konularda yetkin olmalıdır Bilgi güvenliği risklerinin ele alınması, ICT (bilgi ve telekomünikasyon teknolojileri) dış kaynak kullanımı ile ilgili güvenlik riskleri, Tedarik zinciri bilgi güvenliği riskleri

Denetçinin Pozitif Özellikleri Profesyonel Gözlemci Tarafsız Disiplinli Bağımsız Diplomatik Dikkatli İyi dinleyici Sabırlı Objektif Analitik Etik

Denetçinin Negatif Özellikleri Hazırlık ve planlamada yetersizlik Çok Katı Olmak İnatçı Kötü iletişim Tartışmacı Kararsız Kolay etkilenen Ofiste kalmak Zamanı kötü kullanmak Karar vermede güvensiz

Teşekkürler. ogun@kalitest.com.tr

www.btyd.org

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim